MoHcTpUk 0 Опубликовано 19 сентября, 2019 Share Опубликовано 19 сентября, 2019 (изменено) Доброго времени суток! Поймал вирус-шифровальщик на Windows Server 2003, все файлы зашифровались и их расширение изменилось на qp@readme.txt.fftn. Поиск по гуглу предположил что это одна из разновидностей YYTO Ramsoware. В каждой папке лежит файл readme.txt Списались с ними по почте, предложили выкуп за файлы в размере 5000$, так же для доказательства возможности расшифровки расшифровали один из файлов. В прикрепленном архиве содержится: readme.txt - записка о том, как расшифровать 1SACCS.CDX.qp@readme.txt.fftn - зашифрованный файл 1SACCS.CDX - файл, который вымогатели расшифровали Есть ли способ расшифровать все файлы без выкупа? YYTO.rar Изменено 19 сентября, 2019 пользователем MoHcTpUk Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 19 сентября, 2019 Share Опубликовано 19 сентября, 2019 Здравствуйте! Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
MoHcTpUk 0 Опубликовано 20 сентября, 2019 Автор Share Опубликовано 20 сентября, 2019 Здравствуйте! Порядок оформления запроса о помощи CollectionLog-2019.09.16-13.43.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 20 сентября, 2019 Share Опубликовано 20 сентября, 2019 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); ClearQuarantineEx(true); TerminateProcessByName('c:\documents and settings\Администратор\local settings\svchost\svchost.exe'); QuarantineFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', ''); QuarantineFileF('c:\documents and settings\Администратор\local settings\svchost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', ''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\svchost\svchost.exe', '32'); DeleteFileMask('c:\documents and settings\Администратор\local settings\svchost\', '*', true); DeleteDirectory('c:\documents and settings\Администратор\local settings\svchost\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost'); BC_ImportALL; ExecuteSysClean; BC_Activate; end. Перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KL-). Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти